Los investigadores de ciberseguridad han advertido sobre un aumento en la actividad hacktivista de represalia a raíz de las operaciones militares conjuntas de Estados Unidos e Israel contra Irán, con nombres en código Epic Fury y Roaring Lion.
«La amenaza hacktivista en Medio Oriente está muy sesgada, con dos grupos, Keymous+ y DieNet, liderando casi el 70% de toda la actividad de ataque del 28 de febrero al 2 de marzo», dijo Radware en un informe el martes. El primer ataque distribuido de denegación de servicio (DDoS) fue lanzado por Hider Nex (también conocido como Tunisian Maskers Cyber Force) el 28 de febrero de 2026.
Según detalles compartidos por Orange Cyberdefense, Hider Nex es un oscuro grupo hacktivista tunecino que apoya causas pro-palestinas. Aproveche las estrategias de pirateo y filtración que combinan ataques DDoS y filtraciones de datos para filtrar datos confidenciales y promover agendas geopolíticas. Este grupo nació a mediados de 2025.
En total, registramos un total de 149 presuntos ataques DDoS hacktivistas dirigidos a 110 organizaciones diferentes en 16 países. Los ataques fueron llevados a cabo por 12 grupos diferentes, incluidos Keymous+, DieNet y NoName057(16), que representan el 74,6% de toda la actividad.
La mayoría de estos ataques, 107, se concentraron en Medio Oriente y apuntaron desproporcionadamente a infraestructuras públicas y objetivos de Estados-nación. El 22,8% de la actividad global durante este período se produjo en Europa. Casi el 47,8% de todas las organizaciones objetivo en todo el mundo estaban en el sector gubernamental, seguido por los sectores de finanzas (11,9%) y telecomunicaciones (6,7%).
«El frente digital se está expandiendo en paralelo con el frente físico en la región, con grupos hacktivistas atacando simultáneamente a más países en Medio Oriente que nunca», dijo Radware. «La distribución de los ataques en la región se concentra en tres países específicos: Kuwait, Israel y Jordania, donde Kuwait representa el 28% de todas las reclamaciones de ataques, Israel el 27,1% y Jordania el 21,5%».
Además de Keymous+, DieNet y NoName057(16), otros grupos que participaron en operaciones subversivas incluyen Nation of Saviors (NOS), Conquerors Electronic Army (CEA), Sylhet Gang, 313 Team, Handala Hack, APT Iran, Cyber Islamic Resistance, Dark Storm Team, FAD Team, Evil Markhors y PalachPro, según datos de Flashpoint. Unidad 42 de Palo Alto Networks y Radware.
El alcance de los ciberataques actuales es el siguiente:
Grupos hacktivistas prorrusos como Cardinal y Russian Legion afirmaron haber comprometido las redes militares israelíes, incluido el sistema de defensa antimisiles Iron Dome. Se ha observado una campaña activa de phishing por SMS que utiliza réplicas maliciosas de la aplicación RedAlert del Home Front Command israelí para ofrecer malware de vigilancia móvil y fuga de datos. «Al manipular a las víctimas para que descarguen este APK malicioso bajo la apariencia de una actualización de emergencia en tiempos de guerra, el adversario pudo implementar con éxito una interfaz de alerta completamente funcional, enmascarando un motor de monitoreo intrusivo diseñado para aprovecharse de poblaciones hipervigilantes», dijo CloudSEK. El Cuerpo de la Guardia Revolucionaria Islámica de Irán (CGRI) apuntó a los sectores de infraestructura digital y de energía en Medio Oriente, atacando centros de datos de Saudi Aramco y Amazon Web Services en los Emiratos Árabes Unidos, con el objetivo de «infligir el máximo dolor a la economía global como respuesta a las pérdidas militares», dijo Flashpoint. Cotton Sandstorm (también conocido como Haywire Kitten) afirmó haber pirateado un sitio web bahreiní y resucitado a su antiguo personaje cibernético, Altoufan Team. «Esto refleja la naturaleza reactiva de las actividades de este actor y su probable participación adicional en incursiones en todo el Medio Oriente durante tiempos de conflicto», dijo Check Point. Los datos recopilados por Nozomi Networks muestran que el grupo de hackers patrocinado por el estado iraní conocido como UNC1549 (también conocido como GalaxyGato, Nimbus Manticore o Subtle Snail) fue el cuarto actor más activo en la segunda mitad de 2025, centrándose en ataques a la defensa, el sector aeroespacial, las telecomunicaciones y el gobierno local para promover las prioridades geopolíticas del país. Los principales intercambios de criptomonedas de Irán permanecen abiertos, pero han anunciado ajustes operativos, incluida la suspensión o el procesamiento masivo de retiros, y han emitido una guía de riesgo que insta a los usuarios a prepararse para posibles interrupciones en la conexión. «Lo que estamos viendo en Irán no es una evidencia clara de una fuga masiva de capitales, sino más bien mercados que manejan la volatilidad bajo una conectividad restringida y una intervención regulatoria», dijo Ali Redboad, director de política global del Instituto TRM. «Irán ha estado manejando una economía sumergida durante años, utilizando criptomonedas en parte para evadir sanciones a través de sofisticadas infraestructuras extraterritoriales. Bajo la tensión de la guerra, los apagones de comunicaciones y los mercados volátiles, lo que estamos presenciando ahora es una prueba de estrés en tiempo real de esa infraestructura y la capacidad del régimen para aprovecharla». «Hemos observado un aumento en la actividad hacktivista, incluidos ataques DDoS de Irán y otros actores pro iraníes, desfiguraciones de sitios web y afirmaciones no confirmadas de compromiso que involucran infraestructura israelí, pero no hemos observado un aumento en el riesgo», dijo. El Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido advirtió a las organizaciones sobre el mayor riesgo de ataques cibernéticos iraníes y las instó a fortalecer su postura de ciberseguridad para responder mejor a los ataques DDoS, las operaciones de phishing y los objetivos de ICS.
Cynthia Kaiser, vicepresidenta senior del Centro de Investigación de Ransomware de Halcyon y ex subdirectora de la división cibernética de la Oficina Federal de Investigaciones, dijo en una publicación compartida en LinkedIn que Irán tiene un historial de uso de operaciones cibernéticas para tomar represalias contra «desaires políticos percibidos», y agregó que estas operaciones incorporan cada vez más ransomware.
«El gobierno iraní ha preferido durante mucho tiempo hacer la vista gorda, o al menos hacer la vista gorda, ante las ciberoperaciones civiles contra objetivos de Estados Unidos, Israel y otros aliados», añadió Kaiser. «Eso se debe a que tener acceso a cibercriminales da opciones a los gobiernos. Mientras Irán considera su respuesta a la acción militar estadounidense e israelí, es probable que active a uno de estos ciberatacantes si cree que sus operaciones podrían tener un efecto de represalia significativo».
La firma de ciberseguridad SentinelOne también evalúa con alta confianza que las organizaciones en Israel, Estados Unidos y países aliados probablemente se enfrenten a objetivos directos o indirectos, particularmente en los sectores gubernamental, de infraestructura crítica, de defensa, de servicios financieros, académico y de medios.
«Los actores de amenazas iraníes han demostrado históricamente una voluntad de combinar operaciones de espionaje, perturbación e influencia psicológica para promover objetivos estratégicos», dijo Nozomi Networks. «En tiempos de inestabilidad, estas operaciones a menudo se intensifican, apuntando a infraestructuras críticas, redes de energía, instituciones gubernamentales y la industria privada mucho más allá del área inmediata del conflicto».
Para combatir los riesgos que plantean los conflictos dinámicos, se alienta a las organizaciones a activar el monitoreo continuo para reflejar la creciente actividad de amenazas, actualizar las firmas de inteligencia de amenazas, reducir las superficies de ataque externas, realizar revisiones integrales de la exposición de los activos conectados, verificar la segmentación adecuada entre las redes de tecnología de la información y las de tecnología operativa, y garantizar el aislamiento adecuado de los dispositivos de IoT.
«En conflictos pasados, los ciberadversarios de Teherán han operado alineados con objetivos estratégicos más amplios que aumentaron la presión y la visibilidad sobre objetivos en energía, infraestructura crítica, finanzas, telecomunicaciones, atención médica y más», dijo Adam Myers, jefe de operaciones de contraataque en CrowdStrike, en un comunicado compartido con Hacker News.
«Los adversarios de Irán continúan evolucionando sus métodos, expandiéndose más allá de las intrusiones tradicionales a la nube y las operaciones centradas en la identidad, y están posicionados para aumentar la escala y el impacto y moverse rápidamente a través de entornos empresariales híbridos».
Source link
